Apesar do Joomla já ser um sistema relativamente seguro, e ter uma equipe competente que está sempre fazendo correções importantes a fim de aumentar ainda mais sua segurança, ele não é totalmente invulnerável. Muitos administradores não adotam os devidos cuidados para manterem seus sites Joomla seguros, e acabam sofrendo ataques, ocasionando a perda de horas de trabalho ou até mesmo de dias.

Estes administradores devem sempre ter em mente que, na Internet, a segurança de um site deve estar sempre em constante evolução para os diversos desafios que se apresentam. Não existe um caminho certo e único para dar segurança a um site, sendo que todos os métodos de segurança estão sujeitos a melhorias e revisões, bem como devem estar sempre preparados contra uma possível violação.

Felizmente, existem alguns princípios que podem ajudar a evitar essas invasões. São pequenos pormenores extremamente fáceis de implementar e que aumentarão, consideravelmente, a segurança do seu site Joomla. Para isto reuni algumas informações que servirão de orientações para garantir a segurança de seu Joomla.

1 – Realizar backups regularmente.
Os backups dos arquivos e do banco de dados são a nossa última defesa contra a perda dos mesmos. Tais prdas podem acontecer por uma prática qualquer mal executa ou por um inimaginável desastre, devido a ataques hackers aseu site.
Esta tarefa pode ser feita por meio do Cpanel de qualquer conta do seu servidor, com a utilização do FTP Protocolo ou com a utilização de um componente especifico para esta tarefa de backup.

2 – Ficar de olho nas extensões vulneráveis

Não adianta você manter seu Joomla atualizado, se você tem várias extensões instaladas que não estão devidamente atualizadas. A utilização de uma única extensão insegura coloca em perigo todo o seu site.
Para evitar isto você deve tomar as seguintes precauções:

– Faça uma relação de todas as extensões que você utiliza e procure se informar de novas atualizações para elas;

– Procure saber se as extensões que estão sendo utilizadas são seguras e se não são vulneráveis a ataques que comprometam o seu site.

Para isto procure sempre estar bem informado sobre possíveis extensões vulneráveis e verifique se há atualizações corrijam estas vulnerabilidades. Caso não tenha atualização, desinstale esta extensão imediatamente para não comprometer seu site.

Existe uma lista de extensões vulneráveis, a qual está sendo constantemente atualizada, no site oficial do Joomla e no Fórum, as quais podem ser acessadas nos links abaixo:

Fórum contendo a lista de extensões vulneráveis 

E lista de extensões vulneráveis dó site oficial do Joomla.

3 – Ter um nome de usuário e senha mais segura.

Não se dê ao trabalho de atualizar constantemente o Joomla, de seguir várias recomendações, para depois colocar tudo a perder com a utilização de uma senha não segura. Par que isto não aconteça, seguem abaixo algumas sugestões:

Senha: Para ter uma senha segura você deve ter letras maiúsculas, minúsculas, números e caracteres especiais. A senha não precisa ser muito extensa. Utilize por exemplo 3 letras maiúsculas, 3 números, 1 letra minúscula e 1 caractere especial. Exemplo: M82+EhY2

Nome de usuário: Sempre que o Joomla é instalado o nome de usuário por padrão é “admin”, e muitos não a modificam, bem como continuam a utilizá-la. Para dificultar a ação de invasores, altere o nome do usuário para alguma coisa mais difícil de adivinhar, você dificultará muito o acesso indevido à sua conta.

4 – Desligar os relatórios de erro
Um das opções que você pode utilizar também é desligar os relatórios de erros. Esses relatórios de erros além de diminuírem a velocidade do site, indicam também aos “hackers” as falhas na segurança do site Joomla.

Os relatórios de erros podem ser desativados no Joomla 1.5 na sua aba de administração, conforme se vê na figura abixo:

site -> Configuração Globais -> Servidor.

Relatório de erros selecionar nenhum.

Depois de desativada esta função, não será mais permitida a visualização dos erros gerados pelo Joomla, o que é uma coisa muito boa, uma vez que o utilizador comum não os vê (o que não era muito profissional) e os “hackers” não poderão forçar erros de forma a descobrirem métodos de comprometer o seu site.

5-  Utilizar um componente SEF
De que forma os “hackers” decidem atacar o seu site? O método habitual é simples de explicar. Eles descobrem, por exemplo, que uma determinada versão de uma extensão está vulnerável, bem como a forma de explorar essa mesma vulnerabilidade. Depois procuram no Google por meio do comando inurl, a assinatura dessa extensão. O resultado é uma lista de sites vulneráveis, e se o seu site estiver nessa lista, adivinhe o que vai acontecer ?

Utilize um componente SEF (Eearch Engine Friendly) de modo a reescrever a sua url. Assim, o seu site não aparecerá mais naquelas listas e você terá mais sucesso nas pesquisas que lhe interessam dado que o seu site ficará mais otimizado para o Google.

Por padrão, ao se instalar o Joomla, o prefixo da base de dados será jos_. A maioria dos arquivos “hackers” escritos para comprometer um site Joomla, tentam adquirir informações da tabelajos_users. E, desta maneira, podem adquirir a password (senha) e username (nome de usuário) do administrador do website. Mudar o nome do prefixo para algo aleatório ajudará a impedir a maioria dos ataques “hackers”.

O prefixo pode ser escolhido no momento da instalação de um site Joomla mudando o prefixo padrão de jos_ para um que lhe for mais conveniente.

Se você já instalou seu site Joomla e não atentou para a mudança deste prefixo, recomendo que faça esta mudança para aumentar a segurança do seu Joomla.

Para efetuar esta mudança estou disponibilizando o vídeo-tutorial onde é mostrado o passo-a-passo de como fazer a substituição do prefixo do banco de dados por outro.

1 – Vamos utilizar o Notepad++, para fazer as devidas substituições, devido a um comando que fará esta troca de prefixo de uma só vez. Caso você não tenha o Notepad++, faça o download no link abaixo e depois de instalá-lo assista ao vídeo tutorial:

Download Notepad++ – baixar arquivo: npp.5.2.Installer.exe.

Assistir vídeo-tutorial

7– Configuration.php
Quando carregou o seu site para o servidor, teve que efectuar o upload dos ficheiros para um determinada pasta. Nos servidores com cpanel, é a pasta public_html. Ora, essa pasta é aquela que está acessível a qualquer utilizador anónimo. Se você colocar um ficheiro index.html nessa pasta, eu vou conseguir aceder a este ficheiro. O meu sobrinho de 3 anos vai conseguir. E qualquer outra pessoa com um browser vai também conseguir.

Essa pasta é a mais vulnerável em qualquer servidor. Portanto, é boa ideia mover os ficheiros mais sensíveis para uma pasta menos vulnerável. É o caso do ficheiro configuration.php. Mova esse ficheiro para uma pasta acima da public_html. Mude o nome do ficheiro para umnomequalquerqueeuseiemaisninguemsabe.php e coloque um novo ficheiro configuration.php no lugar do anterior, com o seguinte código:

<?
require( dirname( _FILE_ ) . ‘/../umnomequalquerqueeuseiemaisninguemsabe.php’);
?>
Mude as permissões deste novo ficheiro para 444. Se precisar de mudar as configurações, faça o manualmente no umnomequalquerqueeuseiemaisninguemsabe.php.

 

8. Templates 
O habitual quando entro na pasta de templates do Joomla é encontrar lá meia dúzia de templates abandonados. Quando instalamos o Joomla pela primeira vez, parecemos uma diva a experimentar roupa. E depois deixamos os templates espalhados pelo quarto. Apague os templates que não está a utilizar. Quantos é que sobraram? Apenas um.

9. As Register Globals – RG_EMULATION

O próprio Joomla amaldiçoa as Register Globals e depois pede aos utilizadores para desactivarem o RG_Emulation. O RG_ significa Register Globals. Algumas extensões precisam que o RG_Emulation esteja activado, dado que utilizam as Register Globals. O melhor é desactivar e não utilizar essas extensões.

10. Plugins úteis para ajudar na segurança:

Abaixo você vai encontrar uma lista de plugins úteis que irá ajudá-lo a proteger seu site Joomla de invasões externas Claro que estes plugins não vão garantir 100% de proteção e talvez você nunca tenha esses problemas , mas melhor previnir do que remediar.

1. jHackGuard – Joomla Security Plugin
jHackGuard é desenvolvido pela SiteGround para proteger seu site contra ataques hacker. Fique também prevenido contra a maioria de ataques de injeção SQL, Inclusão Remota de URL/Arquivo, Execução de Código Remoto e ataques de XSS!
2. Akeeba Backup 
O sucessor do famoso componente JoomlaPack . Em poucas palavras, Akeeba Core Backup é um componente de backup de código aberto para o Joomla , um pouco diferente do que seus concorrentes. Sua missão é simples : criar um backup do site que pode ser restaurado em qualquer servidor com capacidade Joomla ! . Suas possibilidades : infinitas . Ele cria um backup completo do seu site em um único arquivo .
3. EGuard 
Esta é uma simples extensão que te ajudara a ter mais segurança em seu site . O login de administrador será protegido por um código de segurança. Caso contrário, você pode definir uma lista negra para o seu site e bloquear o sistema de BOT para acessar seu site .
4. Admin Tools 
Admin Tools é um verdadeiro canivete suíço para o seu site . Corrigir seus arquivos e diretórios com as devidas’ permissões , proteger seu diretório de administrador com uma senha, alterar o seu prefixo de banco de dados, definir um seguro Super Administrador ID , migrar links apontando para seu antigo domínio on-the – fly e executar manutenção de banco de dados , todos com um único clique .
5. CD Login Confirmation
Um componente simples e eficaz , que acrescenta uma camada adicional de segurança para o back-end . Este componente envia para o seu endereço de e-mail ( após o login com sucesso ) uma mensagem de confirmação com o código de segurança. A administração está bloqueado até que você digite o código.
6. Anti-Hacker
É um componente de segurança que ajuda a reduzir o risco de seu site que está sendo hackeado , segurança de dados privados , proteção de seus arquivos de sistema contra códigos maliciosos e ataques , e principalmente aumentar a segurança do site .
7. EasyCalcCheck PLUS
Poteja seu site e extensões. Integração com as seguintes extensões: ALFContact, AlphaRegistration, CBE, Community Builder, DFContact, Easybook Reloaded, Flexi Contact, Job Board, JomSocial, Kunena Forum, Phoca Guestbook, QContacts und Virtuemart
8. Security Images
9. Backend Token 
Esse plugin protege o diretório /administrator/ folder for convidados indesejados. Faz tambem verificação de token atraves das solicitações http. Se o token não condiz com o cadastro, o acesso não é permitido.
10. EasyCalcCheck PLUS
Protega seus diretorios de instalação contra acesso não-autorizado, formulários de contato contra spam e aumente a segurança de suas extensões: ALFContact, AlphaRegistration, CBE, Community Builder, DFContact, Easybook Reloaded, Flexi Contact, Job Board, JomSocial, Kunena Forum, Phoca Guestbook, QContacts und Virtuemart
11. Security Images
Se livre de spams colocando captcha em seus formulários de contato.
12. kSecure 
Plugin que adiciona uma camada extra de proteção para o seu site . Por qualquer padrão pode acessar a pasta / administrator e ver que você está executando o Joomla . Com esse plugin, ele protege essa pasta de acesso não autorizado.
13. jomDefender
Protege seu site contra invasões diversas.

O CMS Joomla é um aplicativo seguro, porém, dentro do escopo Webdesign ele é apenas a ponta de um iceberg composto de Sistema Operacional (GNU/LINUX), Servidor Web (APACHE), Gerenciador de Banco de Dados (MYSQL) e Linguagem de Programação (PHP). Resumindo,O provedor de hospedagem e o profissional que irá desenvolver o projeto, são fatores externos que podem contribuir com o comprometimento ou melhoria da sua segurança.

Fontes:

http://www.phpmania.org

http://www.joomlaclube.com.br

http://www.webmaster.pt

http://www.joomlamazonia.com.br/

http://www.joomlabrasilia.org